Sur le fondement des clauses abusives, l’UFC Que choisir a obtenu la nullité d’une partie substantielle des CGU du réseau social Facebook. Dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat (article L. 212-1 du code de la consommation).
Primauté de la version anglaise sanctionnée
La clause prévoyant la primauté de la version anglaise des CGU de Facebook sur la version française en cas de conflit entre ces deux versions linguistiques est illicite, en ce qu’elle ne permet pas l’accès effectif au contrat, le consommateur français se voyant appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender correctement. Aux termes de l’article 2 de la loi du 4 août 1994, dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire.
Absence de remise des CGU sur support durable
La clause qui prévoit que l’inscription puis la navigation sur le site vaut acceptation des conditions générales d’utilisation à un moment où l’utilisateur n’a pas pu avoir accès à celles-ci, est de manière irréfragable présumée abusive. Par ailleurs, s’agissant d’un contrat conclu à distance, Facebook s’est abstenue de respecter l’obligation mise à sa charge, en tant que professionnel, de fournir au consommateur de manière lisible et compréhensible, les informations prévues à l’article L 221-5 du code de la consommation ou en renvoyant à des « conditions commerciales », qui ne sont accessibles que sur le site internet de Facebook (lequel ne constitue pas un support durable au sens de l’article 5 de la Directive 97/7/CE du 20 mai 1997). A ce titre, le renvoi textuel et par lien hypertexte, inséré au sein d’une clause, ne garantit ni la remise effective desdites « Conditions », ni la permanence de son contenu dans le temps.
Interprétation des CGU en faveur du professionnel
En usant d’expressions inadéquates, ambiguës et imprécises, en assurant au sein de la même clause que la suppression des contenus par l’utilisateur produit les mêmes effets d’un « vidage de corbeille » sur un ordinateur, tout en affirmant que les mêmes contenus sont malgré tout conservés par la société Facebook pour une durée qui n’est pas déterminée, la clause est illicite au regard des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation. En reconnaissant au professionnel un droit exclusif d’interprétation dans le sens qui lui serait le plus favorable, la clause litigieuse est irréfragablement abusive.
Effacement des données
Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter sur des données à caractère personnel que si ces données sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. L’article 36 de la loi Informatique et Libertés dispose que les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue à l’article 6 5°) de la loi Informatique et Libertés, à savoir une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
En l’espèce, les « contenus »– dont certains peuvent comprendre des données personnelles – sont conservés après la suppression du contenu, sans limitation de durée, la société Facebook se réservant le droit de les conserver sans motif légitime pour une période sans lien avec la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Contrôle des données personnelles de l’utilisateur
En s’abstenant d’informer l’utilisateur, serait-ce lors de l’installation et de l’utilisation d’une application, de l’existence à cette occasion d’une collecte de données à caractère personnel, à laquelle l’utilisateur ne peut s’opposer – les « informations » réputées « informations publiques » telles que les nom, photos de profil, photo de couverture, genre, ayant été collectées dès la création du compte de l’utilisateur sur le réseau social et lors de son utilisation ultérieure (réseaux, liste d’amis) – les clauses autorisant cette collecte sont illicites au regard de l’article L. 211-1 du code de la consommation et des articles 2 et 6 de la Loi Informatique et Libertés.
En l’absence d’une information de l’utilisateur sur la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données, les clauses sont également illicites au regard de l’article 32-I 2°) de la Loi Informatique et Libertés.
En laissant croire à l’utilisateur qu’il peut restreindre l’accès à ses données à caractère personnel et maitriser cet accès auprès des tiers grâce au paramétrage, alors que certaines de ses données (les « informations publiques ») échappent à tout contrôle et restent en permanence publiques et par suite accessibles à tous, empêchant de ce fait l’utilisateur de connaître l’étendue de la divulgation de ses données personnelles à des tiers, les clauses autorisant ce traitement sont abusives.
Sécurité du compte utilisateur
En prévoyant, en cas d’atteinte à la sécurité du compte de l’utilisateur, que la responsabilité sera supportée uniquement par l’utilisateur, en exonérant en conséquence totalement l’hébergeur (Facebook), sans évoquer le cas où, ayant eu connaissance du caractère illicite de l’activité ou de l’information, l’hébergeur a tardé à retirer promptement les contenus litigieux ou en rendre l’accès impossible, les clauses sont illicites comme contraire à l’article 6.I.2 de la L.C.E.N. (« Loi pour la Confiance dans l’Économie Numérique »), l’hébergeur étant susceptible dans une telle situation d’endosser tout ou partie de la responsabilité encourue.
En laissant croire à l’utilisateur qu’il a la charge de la sécurité de ses données à caractère personnel, alors qu’en sa qualité de responsable de traitement, la société Facebook est tenue d’une obligation de préservation des données ainsi que de prévention de leur déformation, de leur endommagement ou de leur accessibilité par des tiers, les clauses sont également illicites au regard de l’article 34 de la Loi Informatique et Libertés.
Les clauses sont irréfragablement présumée abusives au regard de l’article R. 212-1 6°) du code de la consommation, parce qu’elles ont pour effet d’exonérer le professionnel de son éventuelle responsabilité et de supprimer ou de réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une de ses obligations.
Renvoi illicite à d’autres conditions contractuelles
La clause autorisant par lien hypertexte, le renvoi à des « Conditions de paiement » dont l’utilisateur est censé avoir implicitement accepté l’intégralité des dispositions en effectuant un paiement sur Facebook, est illicite. L’obligation d’information précontractuelle impose au professionnel, avant la conclusion du contrat, de fournir au consommateur de manière lisible et compréhensible les caractéristiques essentielles du service à rendre. En renvoyant par lien hypertexte à des « conditions de paiement » ou à « d’autres conditions distinctes », accessibles uniquement sur le site internet de Facebook, lequel ne constitue pas un support durable au sens de l’article 5 de la Directive 97/7/CE du 20 mai 1997 (CJUE du 5 juillet 2012, C-49/11 Content Services cBundesarbeitskammer), la société Facebook ne respecte pas l’obligation mise à sa charge de fournir au consommateur de manière lisible et compréhensible les informations prévues par l’article L. 221-5 du code de la consommation. Le renvoi par lien hypertexte ne garantit ni la remise effective desdites « Conditions » ni la permanence de son contenu dans le temps.
Collecte illicite de données de profilage
Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Ainsi le nom, la photo de profil, les contenus et informations que l’utilisateur dépose, consciemment ou non, lors de son inscription sur la plate-forme du réseau social et lors de sa navigation ultérieure, constituent des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés.
Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter sur des données à caractère personnel que si ces données sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.
Tel n’était pas le cas des clauses critiquées qui sont abusives en ce qu’elles requièrent l’adhésion de l’utilisateur à l’objectif de la société Facebook de « proposer des publicités, et d’autres contenus commerciaux ou sponsorisés, de façon avantageuse pour nos utilisateurs (sic) et nos annonceurs » i) sans aucune alternative pour s’y opposer et sans l’informer de manière suffisamment claire et précise de l’existence d’une collecte de ses données personnelles, de la nature de ces données collectées, ii) sans recueillir son consentement préalable et sans l’informer des finalités et des destinataires du traitement des données à caractère personnel collectées.
Notification des modifications unilatérales des CGU
Les clauses qui confèrent à la société Facebook le droit de modifier unilatéralement les dispositions, conditions, règles ou instructions, sont abusives en ce qu’elles s’abstiennent d’informer préalablement l’utilisateur des modifications apportées et réservent au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux droits et obligations des parties. A ce titre, il n’est pas légal d’inviter le consommateur à se rendre
spontanément sur la Page Facebook Site Governance (rédigée en anglais) et de cliquer sur le bouton J’aime ». En présumant acquis le consentement de l’utilisateur à de nouvelles dispositions du seul fait de son utilisation des Services, la clause d’acceptation est irréfragablement abusive.
Clause de fermeture de compte
Les clauses qui prévoient que la société Facebook peut cesser de fournir ses services totalement ou partiellement, pour deux séries de motifs i) d’une part une infraction supposée de l’utilisateur à la lettre voire à l’esprit des CGU et ii) d’autre part une « création », par l’utilisateur, d’un « risque de poursuites « à l’encontre de la société. Facebook, sont abusives en ce qu’elles évoquent d’une manière générale des « infractions » particulièrement équivoques et/ou imprécises pour justifier de sanctions prises à l’encontre de l’utilisateur.
Lesdites clauses restent par ailleurs silencieuses sur la nature exacte des services supprimés, sur la durée de cette suppression, lorsqu’elle est partielle, ainsi que sur les conditions d’un éventuel rétablissement de ces services (rupture unilatérale de contrat).
Responsabilité et sécurité des données
Les clauses exonérant de responsabilité la société Facebook ont également été déclarées abusives. L’article L. 221-15 du code de la consommation prévoit que le professionnel est responsable de plein droit à l’égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance. Aux termes de l’article 34 de la Loi Informatique et Libertés relatif à la protection des données à caractère personnel des personnes physiques, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.
Indivisibilité des clauses contractuelles
En prévoyant qu’en cas d’invalidité ou d’inapplicabilité d’une partie de ses CGU, l’utilisateur reste tenu par les autres stipulations « le reste restera en vigueur et applicable « , la clause en cause laisse croire à l’utilisateur qu’il revient au fournisseur de réseau social de décider de l’étendue de la sanction invalidant la ou les clause(s) prononcée(s) en justice, alors qu’il appartient au seul juge de décider si cette sanction emporte l’anéantissement d’autres clauses (clause abusive).
Liste composite de documents contractuels
La pratique dite des « documents composites » a également été sanctionnée. La clause qui invite l’utilisateur à « obtenir des informations supplémentaires relatives à (l’) utilisation de Facebook » au travers d’une liste composite de documents, au sein desquels certaines dispositions relèvent du domaine contractuel, alors que d’autres relèvent du domaine informatif voire du mode d’emploi du réseau social, est abusive. En effet, ce procédé rédactionnel ne permet pas à l’utilisateur de distinguer les documents et/ou les dispositions, qui constituent les « Conditions Générales d’Utilisation » du réseau social Facebook.
Sanction du consentement présumé
De façon plus générale, le fait de présumer le consentement de l’utilisateur est abusif dès lors que des clauses prévoient, sans information ni consentement exprès préalable, le droit, pour le responsable du traitement, de collecter et de traiter les données à caractère personnel, que l’utilisateur dépose, consciemment ou non sur le réseau, notamment ses nom, adresse électronique, date de naissance, sexe et numéro de téléphone déposées à l’occasion de son inscription.
Lesdites clauses n’informent pas l’utilisateur de manière claire et compréhensible de la collecte de données à caractère personnel le concernant effectuée à cette occasion, ainsi que des finalités de cette collecte, spécialement en cas de collecte à l’occasion d’actes anodins (clic sur un module de « like » …).
Transferts internationaux de données personnelles
Les clauses présumant la conformité des transferts des données effectués hors Union européenne aux principes de Safe Harbor, sont abusives si elles n’indiquent pas les pays destinataires du transfert de données, ni les garanties apportées, lorsque les destinataires sont situés dans des pays n’appartenant pas à la Communauté européenne et qui n’assurent pas un niveau de protection suffisant de la vie privée, ces clauses sont illicites car contraires à l’article 68 de la loi Informatique et Libertés et à l’article 25 de la Directive 95/46 CE.
Défaut d’information des « utilisateurs passifs »
La société Facebook est également fautive en ce qu’elle n’informe pas les utilisateurs, authentifiés ou non (« utilisateurs passifs »), que des données à caractère personnel sont collectées lors de leur navigation sur des sites, tiers au réseau, ou des applications tierces, la seule présence de « bouton » sur une page Internet, ainsi que la présence de cookies initialement déposés sur l’ordinateur de l’utilisateur par la société Facebook
Durée de conservation des données
La clause « encadrant » la durée de conservation des données personnelles des utilisateurs a également été déclarée nulle (« Facebook conserve les données de l’utilisateur aussi longtemps que nécessaire pour l’apport de (ses) produits et services »). Les clauses prévoyant un délai de conservation des données d’environ un mois en cas de suppression (résiliation) du compte, hormis « certaines informations », qui peuvent rester jusqu’à 90 jours dans des copies de sauvegarde et dans des journaux d’activité, ont été déclarées nulles.
L’article 6 5°) de la Loi Informatique et Libertés limite la durée de conservation des données à caractère personnel sous une forme permettant l’identification des personnes concernées à une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. De la même manière, l’article 36 de la loi Informatique et Libertés dispose que les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue à l’article 6 5°) de la loi Informatique et Libertés, à savoir une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Tel n’est pas le cas du délai de 90 jours à compter de la demande de suppression du compte, durant lequel les données à caractère personnel de l’utilisateur sont conservées par le responsable du traitement, sous une forme permettant son identification, alors que ses données à caractère personnel ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été collectées, à savoir l’utilisation de la plateforme.
Transfert des données aux prestataires
En matière de partage des données utilisateurs avec des tiers, il a été jugé que l’absence d’action ou le comportement passif de l’utilisateur ne peut pas être considérée comme un consentement, qui doit être spécifique pour chacune des finalités, pour lesquelles les données sont traitées. En omettant d’indiquer, quelles données sont concernées par le prétendu « partage » des données, en s’abstenant d’identifier les « autres personnes », destinataires de ce « partage » (en dehors des « amis » de l’utilisateur du réseau social), en employant le terme « susceptibles » à propos du traitement qui pourrait être effectué à cette occasion et de ses finalités, l’utilisateur est placé dans l’incertitude quant à la nature des données collectées et l’utilisation qui peut en être faite. Les clauses en cause ne satisfont pas aux impératifs de clarté et de complétude exigés par l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation.
Rappel sur l’appréciation globale d’une clause abusive
Pour rappel, le caractère abusif d’une clause s’apprécie en se référant, au moment de la conclusion du contrat, à toutes les circonstances qui entourent sa conclusion, de même qu’à toutes les autres clauses du contrat. Il s’apprécie également au regard de celles contenues dans un autre contrat lorsque les deux contrats sont juridiquement liés dans leur conclusion ou leur exécution. L’appréciation du caractère abusif ne porte ni sur la définition de l’objet principal du contrat ni sur l’adéquation du prix ou de la rémunération au bien vendu ou au service offert pour autant que les clauses soient rédigées de façon claire et compréhensible. Ces dispositions sont applicables quels que soient la forme ou le support du contrat. Il en est ainsi notamment des bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou tickets, contenant des stipulations négociées librement ou non ou des références à des conditions générales préétablies.
Les 12 clauses de facto abusives
Au sens de l’article R.212-1 du code de la consommation, sont de manière irréfragable présumées abusives les clauses ayant pour objet ou pour effet de :
1) Constater l’adhésion du consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont il n’a pas eu connaissance avant sa conclusion ;
2) Restreindre l’obligation pour le professionnel de respecter les engagements pris par ses préposés ou ses mandataires ;
3) Réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives à sa durée, aux caractéristiques ou au prix du bien à livrer ou du service à rendre ;
4) Accorder au seul professionnel le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat ou lui conférer le droit exclusif d’interpréter une quelconque clause du contrat ;
5) Contraindre le consommateur à exécuter ses obligations alors que, réciproquement, le professionnel n’exécuterait pas ses obligations de délivrance ou de garantie d’un bien ou son obligation de fourniture d’un service ;
6) Supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations ;
7) Interdire au consommateur le droit de demander la résolution ou la résiliation du contrat en cas d’inexécution par le professionnel de ses obligations de délivrance ou de garantie d’un bien ou de son obligation de fourniture d’un service ;
8) Reconnaître au professionnel le droit de résilier discrétionnairement le contrat, sans reconnaître le même droit au consommateur ;
9) Permettre au professionnel de retenir les sommes versées au titre de prestations non réalisées par lui, lorsque celui-ci résilie lui-même discrétionnairement le contrat ;
10) Soumettre, dans les contrats à durée indéterminée, la résiliation à un délai de préavis plus long pour le consommateur que pour le professionnel ;
11) Subordonner, dans les contrats à durée indéterminée, la résiliation par le consommateur au versement d’une indemnité au profit du professionnel ;
12) Imposer au consommateur la charge de la preuve, qui, en application du droit applicable, devrait incomber normalement à l’autre partie au contrat.
Les 10 clauses présumées abusives (preuve contraire possible)
Au sens de l’article R. 212-2 du code de la consommation, sont présumées abusives, sauf au professionnel à rapporter la preuve contraire, les clauses ayant pour objet ou pour effet de :
1) Prévoir un engagement ferme du consommateur, alors que l’exécution des prestations du professionnel est assujettie à une condition dont la réalisation dépend de sa seule volonté ;
2) Autoriser le professionnel à conserver des sommes versées par le consommateur lorsque celui-ci renonce à conclure ou à exécuter le contrat, sans prévoir réciproquement le droit pour le consommateur de percevoir une indemnité d’un montant équivalent, ou égale au double en cas de versement d’arrhes au sens de l’article L. 214-1 si c’est le professionnel qui renonce ;
3) Imposer au consommateur qui n’exécute pas ses obligations une indemnité d’un montant manifestement disproportionné ;
4) Reconnaître au professionnel la faculté de résilier le contrat sans préavis d’une durée raisonnable ;
5) Permettre au professionnel de procéder à la cession de son contrat sans l’accord du consommateur et lorsque cette cession est susceptible d’engendrer une diminution des droits du consommateur ;
6) Réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux droits et obligations des parties, autres que celles prévues au 3° de l’article R.212-1 ;
7) Stipuler une date indicative d’exécution du contrat, hors les cas où la loi l’autorise ;
8) Soumettre la résolution ou la résiliation du contrat à des conditions ou modalités plus rigoureuses pour le consommateur que pour le professionnel ;
9) Limiter indûment les moyens de preuve à la disposition du consommateur ;
10) Supprimer ou entraver l’exercice d’actions en justice ou des voies de recours par le consommateur, notamment en obligeant le consommateur à saisir exclusivement une juridiction d’arbitrage non couverte par des dispositions légales ou à passer exclusivement par un mode alternatif de règlement des litiges.
[list]
[li type= »glyphicon-ok »]Télécharger la décision[/li]
[li type= »glyphicon-ok »]Télécharger un modèle de contrat en droit de la Com. électronique[/li]
[li type= »glyphicon-ok »]Poser une question juridique (confidentialité garantie, réponse en 48h) [/li]
[li type= »glyphicon-ok »]Mise en relation avec un Avocat ayant traité un dossier similaire (affaires vérifiées)[/li]
[li type= »glyphicon-ok »]Commander un dossier juridique sur les Clauses abusives(en 48h)[/li]
[/list]
